ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
Download
Report
Transcript ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
Zezwala się na wykorzystanie tylko w całości
przez wszystkich zainteresowanych,
do prowadzenia szkoleń z zakresu ochrony
informacji niejawnych oraz systemów
teleinformatycznych, z wyraźnym
zaznaczenie źródła pochodzenia oraz
wyeksponowanym logo I_N.
www.iniejawna.pl
© www.one1.pl
Wszelkie prawa zastrzeżone
ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
ROZPORZĄDZENIE
RADY MINISTRÓW
z dnia 29 maja 2012 r.
w sprawie środków bezpieczeństwa
fizycznego stosowanych do
zabezpieczania informacji niejawnych
Dz.U.2012.683
ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
§ 1.
1. Rozporządzenie określa:
1) podstawowe kryteria i sposób określania poziomu
zagrożeń;
2) dobór środków bezpieczeństwa fizycznego
odpowiednich do wskazanego poziomu zagrożeń;
3) rodzaje zagrożeń, które należy uwzględnić przy
określaniu poziomu zagrożeń;
4) podstawowe elementy, które powinien zawierać plan
ochrony informacji niejawnych;
5) zakres stosowania środków bezpieczeństwa fizycznego;
6) kryteria tworzenia stref ochronnych.
ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
2. Przepisów rozporządzenia regulujących sprawy, o
których mowa w ust. 1 pkt 2 i 5, nie stosuje się w
jednostkach organizacyjnych organów wymienionych w
art. 47 ust. 3 ustawy z dnia 5 sierpnia 2010 r. o ochronie
informacji niejawnych, zwanej dalej „ustawą”, oraz w
stosunku do informacji niejawnych wchodzących w
skład zasobu archiwalnego archiwów państwowych. W
jednostkach organizacyjnych, o których mowa w art. 1
ust. 2 pkt 2 ustawy, nie stosuje się ponadto przepisów
rozporządzenia regulujących sprawy, o których mowa w
ust. 1 pkt 4 i 6.
ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
§ 2.
Ilekroć w rozporządzeniu jest mowa o:
1) dostępności informacji niejawnej – należy przez to rozumieć
właściwość określającą, że informacja niejawna jest możliwa do
wykorzystania na żądanie podmiotu uprawnionego w
określonym czasie;
2) integralności informacji niejawnej – należy przez to rozumieć
właściwość określającą, że informacja niejawna nie została
zmodyfikowana w sposób nieuprawniony;
3) poufności informacji niejawnej – należy przez to rozumieć
właściwość określającą, że informacja niejawna nie jest
ujawniana podmiotom do tego nieuprawnionym;
4) incydencie bezpieczeństwa – należy przez to rozumieć
pojedyncze zdarzenie lub serię zdarzeń związanych z
bezpieczeństwem informacji niejawnych, które zagrażają ich
poufności, dostępności lub integralności.
ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
§ 3.
1. W ramach systemu bezpieczeństwa fizycznego informacji
niejawnych stosuje się środki bezpieczeństwa fizycznego w celu
zapewnienia poufności, integralności i dostępności tych
informacji.
2. W celu doboru adekwatnych środków bezpieczeństwa
fizycznego określa się poziom zagrożeń związanych z utratą
poufności, integralności lub dostępności informacji niejawnych,
zwany dalej „poziomem zagrożeń”.
3. Poziom zagrożeń określa się dla pomieszczenia lub obszaru, w
którym są przetwarzane informacje niejawne.
4. Poziom zagrożeń określa się jako wysoki, średni albo niski.
ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
5. Przy określaniu poziomu zagrożeń uwzględnia się:
1) zagrożenia naturalne, wynikające z działania sił przyrody lub
awarii urządzeń;
2) zagrożenia związane zarówno z umyślnym, jak i nieumyślnym
zachowaniem człowieka.
6. W celu określenia poziomu zagrożeń przeprowadza się analizę,
w której uwzględnia się wszystkie istotne czynniki mogące mieć
wpływ na bezpieczeństwo informacji niejawnych.
7. Poziom zagrożeń określa się przed rozpoczęciem przetwarzania
informacji niejawnych, a także po każdej zmianie czynników, o
których mowa w ust. 6.
8. Podstawowe kryteria i sposób określania poziomu zagrożeń
zawiera załącznik nr 1 do rozporządzenia.
ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
§ 4.
1. Cel, o którym mowa w § 3 ust. 1, osiąga się przez:
1) zapewnienie właściwego przetwarzania informacji niejawnych;
2) umożliwienie zróżnicowania dostępu do informacji niejawnych
dla pracowników zgodnie z posiadanymi przez nich
uprawnieniami oraz uzasadnioną potrzebą dostępu do informacji
niejawnych;
3) wykrywanie, udaremnianie lub powstrzymywanie działań
nieuprawnionych;
4) uniemożliwianie lub opóźnianie wtargnięcia osób
nieuprawnionych w sposób niezauważony lub z użyciem siły do
pomieszczenia lub obszaru, w którym są przetwarzane
informacje niejawne.
2. Środki bezpieczeństwa fizycznego stosuje się we wszystkich
pomieszczeniach i obszarach, w których są przetwarzane
informacje niejawne, z zastrzeżeniem § 8 ust. 5.
ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
3. System środków bezpieczeństwa fizycznego
obejmuje stosowanie rozwiązań
organizacyjnych, wyposażenia i urządzeń
służących ochronie informacji niejawnych oraz
elektronicznych systemów pomocniczych
wspomagających ochronę informacji
niejawnych. W zależności od poziomu zagrożeń
określonego w wyniku przeprowadzenia analizy,
o której mowa w § 3 ust. 6, stosuje się
odpowiednią kombinację następujących
środków bezpieczeństwa fizycznego:
ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
1) personel bezpieczeństwa – osoby przeszkolone,
nadzorowane, a w razie konieczności posiadające
odpowiednie uprawnienie do dostępu do informacji
niejawnych, wykonujące czynności związane z fizyczną
ochroną informacji niejawnych, w tym kontrolę dostępu
do pomieszczeń lub obszarów, w których są
przetwarzane informacje niejawne, nadzór nad
systemem dozoru wizyjnego, a także reagowanie na
alarmy lub sygnały awaryjne;
2) bariery fizyczne – środki chroniące granice miejsca, w
którym są przetwarzane informacje niejawne, w
szczególności ogrodzenia, ściany, bramy, drzwi i okna;
ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
3) szafy i zamki – stosowane do przechowywania informacji
niejawnych lub zabezpieczające te informacje przed
nieuprawnionym dostępem;
4) system kontroli dostępu – obejmujący elektroniczny system
pomocniczy lub rozwiązanie organizacyjne, stosowany w
celu zagwarantowania uzyskiwania dostępu do
pomieszczenia lub obszaru, w którym są przetwarzane
informacje niejawne, wyłącznie przez osoby posiadające
odpowiednie uprawnienia;
5) system sygnalizacji włamania i napadu – elektroniczny
system pomocniczy stosowany w celu realizacji procedur
ochrony informacji niejawnych oraz podwyższenia poziomu
bezpieczeństwa, który zapewniają bariery fizyczne, a w
pomieszczeniach i budynkach zastępujący lub wspierający
personel bezpieczeństwa;
ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
6) system dozoru wizyjnego – elektroniczny system pomocniczy
stosowany w celu bieżącego monitorowania ochronnego lub
sprawdzania incydentów bezpieczeństwa i sygnałów
alarmowych przez personel bezpieczeństwa;
7) system kontroli osób i przedmiotów – obejmujący
elektroniczny system pomocniczy lub rozwiązanie
organizacyjne polegające na zwracaniu się o dobrowolne
poddanie się kontroli lub udostępnienie do kontroli rzeczy
osobistych, a także przedmiotów wnoszonych lub
wynoszonych – stosowany w celu zapobiegania próbom
nieuprawnionego wnoszenia na chroniony obszar rzeczy
zagrażających bezpieczeństwu informacji niejawnych lub
nieuprawnionego wynoszenia informacji niejawnych z
budynków lub obiektów.
ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
4. W celu zapewnienia poufności, integralności i dostępności
informacji niejawnych można zastosować również środki
bezpieczeństwa fizycznego inne niż wymienione w ust. 3, jeżeli
taka potrzeba wynika z analizy poziomu zagrożeń.
5. Jeżeli istnieje zagrożenie podglądu, także przypadkowego,
informacji niejawnych, zarówno w świetle dziennym, jak i w
warunkach sztucznego oświetlenia, podejmuje się działania w celu
wyeliminowania takiego zagrożenia.
6. Elektroniczny system pomocniczy wspomagający ochronę
informacji niejawnych powinien posiadać wydane przez dostawcę, z
uwzględnieniem przepisów o systemie oceny zgodności,
poświadczenie zgodności z wymogami określonymi w
rozporządzeniu.
7. Metodykę doboru środków bezpieczeństwa fizycznego określa
załącznik nr 2 do rozporządzenia.
ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
§ 5.
1. Tworzy się następujące strefy ochronne:
1) strefę ochronną I – obejmującą
pomieszczenie lub obszar, w których informacje
niejawne o klauzuli „poufne” lub wyższej są
przetwarzane w taki sposób, że wstęp do tego
pomieszczenia lub obszaru umożliwia
uzyskanie bezpośredniego dostępu do tych
informacji; pomieszczenie lub obszar spełniają
następujące wymagania:
ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
a) wyraźnie wskazana w planie ochrony najwyższa
klauzula tajności przetwarzanych informacji niejawnych,
b) wyraźnie określone i zabezpieczone granice,
c) wprowadzony system kontroli dostępu zezwalający na
wstęp osób, które posiadają odpowiednie uprawnienie
do dostępu do informacji niejawnych w zakresie
niezbędnym do wykonywania pracy lub pełnienia służby
albo wykonywania czynności zleconych,
d) w przypadku konieczności wstępu osób innych niż te, o
których mowa w lit. c, przetwarzane informacje niejawne
zabezpiecza się przed możliwością dostępu do nich
tych innych osób oraz zapewnia się nadzór osoby
uprawnionej lub równoważne mechanizmy kontrolne,
e) wstęp możliwy jest wyłącznie ze strefy ochronnej;
ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
2) strefę ochronną II – obejmującą pomieszczenie lub obszar,
w którym informacje niejawne o klauzuli „poufne” lub wyższej
są przetwarzane w taki sposób, że wstęp do tego
pomieszczenia lub obszaru nie umożliwia uzyskania
bezpośredniego dostępu do tych informacji; pomieszczenie
lub obszar spełniają następujące wymagania:
a) wyraźnie określone i zabezpieczone granice,
b) wprowadzony system kontroli dostępu zezwalający na wstęp
osób, które posiadają odpowiednie uprawnienie do dostępu
do informacji niejawnych w zakresie niezbędnym do
wykonywania pracy lub pełnienia służby albo wykonywania
czynności zleconych,
c) w przypadku konieczności wstępu osób innych niż te, o
których mowa w lit. b, zapewnia się nadzór osoby
uprawnionej lub równoważne mechanizmy kontrolne,
d) wstęp możliwy jest wyłącznie ze strefy ochronnej;
ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
3) strefę ochronną III – obejmującą pomieszczenie lub
obszar wymagający wyraźnego określenia granic, w
obrębie których jest możliwe kontrolowanie osób i
pojazdów;
ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
4) specjalną strefę ochronną – umiejscowioną w obrębie
strefy ochronnej I lub strefy ochronnej II, chronioną
przed podsłuchem, spełniającą dodatkowo następujące
wymagania:
ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
a) strefę wyposaża się w system sygnalizacji włamania i napadu,
b) strefa pozostaje zamknięta, gdy nikogo w niej nie ma,
c) w przypadku posiedzenia niejawnego strefa jest chroniona przed
wstępem osób nieupoważnionych do udziału w tym posiedzeniu,
d) strefa podlega regularnym inspekcjom przeprowadzanym
według zaleceń Agencji Bezpieczeństwa Wewnętrznego albo
Służby Kontrwywiadu Wojskowego, nie rzadziej niż raz w roku
oraz po każdym nieuprawnionym wejściu do strefy lub
podejrzeniu, że takie wejście mogło mieć miejsce,
e) w strefie nie mogą znajdować się linie komunikacyjne, telefony,
inne urządzenia komunikacyjne ani sprzęt elektryczny lub
elektroniczny, których umieszczenie nie zostało zaakceptowane
w sposób określony w procedurach bezpieczeństwa, o których
mowa w § 9 ust. 1 pkt 4.
ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
2. Pomieszczenie lub obszar w każdej strefie ochronnej, w
których praca nie odbywa się w systemie całodobowym,
sprawdza się bezpośrednio po zakończeniu pracy w celu
upewnienia się, że informacje niejawne zostały właściwie
zabezpieczone.
3. W strefie ochronnej I lub w strefie ochronnej II można
utworzyć pomieszczenie wzmocnione. Konstrukcja
pomieszczenia powinna zapewniać ochronę równoważną
ochronie zapewnianej przez odpowiednie szafy
przeznaczone do przechowywania informacji niejawnych o tej
samej klauzuli tajności. W pomieszczeniu wzmocnionym
dopuszczalne jest przechowywanie informacji niejawnych
poza odpowiednimi szafami.
4. Strefę ochronną I, strefę ochronną II lub specjalną strefę
ochronną można utworzyć tymczasowo w strefie ochronnej III
w celu odbycia posiedzenia niejawnego.
ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
§ 6.
Klucze i kody dostępu do szaf, pomieszczeń lub
obszarów, w których są przetwarzane informacje
niejawne, mogą być udostępnione tylko tym
osobom, którym posiadanie kluczy lub znajomość
kodów są niezbędne do wykonywania obowiązków
służbowych. Kody zmienia się co najmniej raz w
roku, a także w przypadku:
1) każdej zmiany składu osób znających kod;
2) zaistnienia podejrzenia, że osoba nieuprawniona
mogła poznać kod;
3) gdy zamek poddano konserwacji lub naprawie.
ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
§ 7.
1. Informacje niejawne o klauzuli „ściśle tajne”
przetwarza się w strefie ochronnej I lub w strefie
ochronnej II i przechowuje się w szafie metalowej
spełniającej co najmniej wymagania klasy
odporności na włamanie S2, określone w Polskiej
Normie PN-EN 14450 lub nowszej, lub w
pomieszczeniu wzmocnionym, z zastosowaniem
jednego z poniższych środków uzupełniających:
ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
1) stała ochrona lub kontrola w nieregularnych
odstępach czasu przez pracownika personelu
bezpieczeństwa posiadającego odpowiednie
poświadczenie bezpieczeństwa, w szczególności z
wykorzystaniem systemu dozoru wizyjnego z
obowiązkową rejestracją w rozdzielczości nie
mniejszej niż 400 linii telewizyjnych i
przechowywaniem zarejestrowanego zapisu przez
czas nie krótszy niż 30 dni;
2) system sygnalizacji włamania i napadu
obsługiwany przez personel bezpieczeństwa z
wykorzystaniem systemu dozoru wizyjnego, o
którym mowa w pkt 1.
ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
2. Informacje niejawne o klauzuli „tajne” przetwarza
się w strefie ochronnej I lub w strefie ochronnej II i
przechowuje się w szafie metalowej spełniającej co
najmniej wymagania klasy odporności na włamanie
S1, określone w Polskiej Normie PN-EN 14450 lub
nowszej, lub w pomieszczeniu wzmocnionym.
3. Informacje niejawne o klauzuli „poufne”:
1) przetwarza się w strefie ochronnej I, II lub III;
2) przechowuje się w strefie ochronnej I lub w strefie
ochronnej II w szafie metalowej lub w
pomieszczeniu wzmocnionym.
ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
4. Informacje niejawne o klauzuli „zastrzeżone”
przetwarza się w pomieszczeniu lub obszarze
wyposażonych w system kontroli dostępu i
przechowuje się w szafie metalowej, pomieszczeniu
wzmocnionym lub zamkniętym na klucz meblu
biurowym.
ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
§ 8.
1. Przetwarzanie informacji niejawnych o klauzuli „poufne” lub
wyższej w systemach teleinformatycznych odbywa się w
strefie ochronnej I lub w strefie ochronnej II, w warunkach
uwzględniających wyniki procesu szacowania ryzyka, o
którym mowa w art. 49 ust. 1 ustawy.
2. Przekazywanie informacji, o których mowa w ust. 1, odbywa
się w strefie ochronnej, na podstawie wyników procesu
szacowania ryzyka, o którym mowa w art. 49 ust. 1 ustawy.
3. Przetwarzanie informacji niejawnych o klauzuli „zastrzeżone”
w systemach teleinformatycznych odbywa się w
pomieszczeniu lub obszarze wyposażonych w system
kontroli dostępu, w warunkach uwzględniających wyniki
procesu szacowania ryzyka, o którym mowa w art. 49 ust. 1
ustawy.
ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
4. Serwery, systemy zarządzania siecią, kontrolery
sieciowe i inne newralgiczne elementy systemów
teleinformatycznych umieszcza się, z
uwzględnieniem wyników procesu szacowania
ryzyka, o którym mowa w art. 49 ust. 1 ustawy, w
następujący sposób:
1) w strefie ochronnej w przypadku przetwarzania
informacji niejawnych o klauzuli „zastrzeżone”;
2) w strefie ochronnej I lub w strefie ochronnej II, w
przypadku przetwarzania informacji niejawnych o
klauzuli „poufne” lub wyższej.
ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
5. Przetwarzanie informacji niejawnych w części
mobilnej zasobów systemu teleinformatycznego
odbywa się na podstawie wyników procesu
szacowania ryzyka, o którym mowa w art. 49 ust. 1
ustawy, w sposób określony w dokumentacji
bezpieczeństwa systemu teleinformatycznego.
ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
§ 9.
1. Kierownik jednostki organizacyjnej zatwierdza plan ochrony
informacji niejawnych, który zawiera:
1) opis stref ochronnych, pomieszczeń lub obszarów, o których
mowa w § 7 ust. 4, w tym określenie ich granic i
wprowadzonego systemu kontroli dostępu;
2) procedury zarządzania uprawnieniami do wejścia, wyjścia i
przebywania w strefach ochronnych;
3) opis zastosowanych środków bezpieczeństwa fizycznego
uwzględniający certyfikaty, o których mowa w art. 46 pkt 4
ustawy, oraz poświadczenia, o których mowa w § 4 ust. 6;
4) procedury bezpieczeństwa dla strefy ochronnej I, strefy
ochronnej II oraz specjalnej strefy ochronnej, określające w
szczególności:
ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
a) klauzule tajności informacji niejawnych
przetwarzanych w strefie,
b) sposób sprawowania nadzoru przez osoby
uprawnione w przypadku przebywania w strefie
osób nieposiadających stałego upoważnienia do
wstępu oraz sposób zabezpieczania
przetwarzanych informacji niejawnych przed
możliwością nieuprawnionego dostępu tych osób,
c) w przypadku specjalnej strefy ochronnej, sposób
akceptacji umieszczania linii komunikacyjnych,
telefonów, innych urządzeń komunikacyjnych,
sprzętu elektrycznego lub elektronicznego,
znajdujących się w strefie;
ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
5) procedury zarządzania kluczami i kodami dostępu do szaf,
pomieszczeń lub obszarów, w których są przetwarzane
informacje niejawne;
6) procedury reagowania osób odpowiedzialnych za ochronę
informacji niejawnych oraz personelu bezpieczeństwa w
przypadku zagrożenia utratą lub ujawnieniem informacji
niejawnych;
7) plany awaryjne uwzględniające potrzebę ochrony informacji
niejawnych w razie wystąpienia sytuacji szczególnych, w tym
wprowadzenia stanów nadzwyczajnych, w celu zapobieżenia
utracie poufności, integralności lub dostępności informacji
niejawnych.
2. W przypadkach uzasadnionych organizacją ochrony
informacji niejawnych plan, o którym mowa w ust. 1, może
zawierać dodatkowe elementy.
ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
§ 10.
1. W terminie 3 lat od dnia wejścia w życie
rozporządzenia określa się poziom zagrożeń,
opracowuje dokumenty, o których mowa w § 9, i
dostosowuje się kombinację środków
bezpieczeństwa fizycznego oraz organizację stref
ochronnych do wymagań określonych w
rozporządzeniu.
2. Certyfikaty i tabliczki znamionowe przyznane
wyposażeniu i urządzeniom służącym ochronie
informacji niejawnych, wydane przed dniem wejścia
w życie rozporządzenia, zachowują ważność.
ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
Podstawowe kryteria i sposób określania
poziomu zagrożeń
ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
Metodyka doboru środków
bezpieczeństwa fizycznego
ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
DZIĘKUJĄC ZA UWAGĘ
ZAPRASZAMY DO ODWIEDZENIA
SERWISU
www.iniejawna.pl